dr. josé de jesús vázquez gómez banco de méxico jjesusvg...

Seguridad en dispositivos móviles

Dr. José de Jesús Vázquez GómezBanco de México

jjesusvg@banxico.org.mx

1Dr. José de Jesús Vázquez Gómez

Agenda

• Antecedentes• Dispositivos móviles• Entorno tecnológico• Usos• Competitividad• Riesgos• Recomendaciones• Conclusión

Dr. José de Jesús Vázquez Gómez 2

Antecedentes

• En los últimos 50 años el cómputo y las redes han pasado de entornos donde muchos usuarios empleaban una sola computadora central, hasta entornos donde cada usuario emplea muchas computadoras, pasando por el entorno del cómputo personal, donde cada usuario contaba con su equipo.

Dr. José de Jesús Vázquez Gómez 3

Antecedentes

• En los 80´s empezó a manejarse el concepto de una computadora por usuario, el poder de cómputo se distribuye, las redes permiten interconectar los equipos personales de la empresa entre sí y con servidores que hacen algún cómputo especializado para la organización (almacenamiento, correo, ruteo, etc.)

• La internet empieza a ser moderadamente accesible al mundo.

Dr. José de Jesús Vázquez Gómez 4

Antecedentes

• Durante la década de los 90´s, además de hacer “portables” las computadoras, surgen interfaces que permiten compartir contenidos de forma estándar y amigable. La telefonía celular es una realidad. La conectividad alcanza magnitudes insospechadas. Las computadoras de las empresas no sólo se conectan entre ellas, sino con equipos controlados por otras organizaciones.

• Se gesta la Grid.

Dr. José de Jesús Vázquez Gómez 5

Antecedentes

• El siglo XXI se ha caracterizado porque un usuario tiene acceso a muchas computadoras, en casa, auto, escuela, bolsillo, asistentes automatizados.

• Se puede hablar por teléfono, recibir mensajes de correo, transferir archivos, conectarse a servicios de diferentes organizaciones, prácticamente desde cualquier dispositivo.

• Se virtualizan los entornos de cómputo y redes.• No se puede estar desconectado en las

actividades laborales cotidianas.

Dr. José de Jesús Vázquez Gómez 6

Dr. José de Jesús Vázquez Gómez 7

Motorola DynaTAC 8000X 1983

MAIL, FTP 1971 Morris Worm CERT 1988

VoIP Vocaltec

E-commerce1995

Internet 21998

Toshiba T1100 1985

IBM PC

TCP/IP 1981

Kindle iPhone 2007iPad 2010

DARPANET 1969UCLA, UCSB, SRI, UU

802.111997

USB Flash 1996

CERN www 1991

Cloud ComputingIBM 2003

Antecedentes

Dr. José de Jesús Vázquez Gómez 8

Mobile computing: Past, present and futureBy Vasilis Koudounas vk5@doc.ic.ac.uk and Omar Iqbal oi@doc.ic.ac.uk

Dispositivos móviles

• Laptops

• Teléfonos inteligentes

• USB flash driver

• Computadoras

• Centros de cómputo

• PDA

• Tablet

• Calculadora

• Consola de juegos portátil

• Portable media player

• Pager

• PDN (Personal navigation device)

• Marcapasos

• Etc.

Dr. José de Jesús Vázquez Gómez 9

Entorno tecnológico

• Redes, cableadas, inalámbricas, de escritorio, satelitales.

• Protocolos, 802.11, TCP/IP, WEP, WPA, SSL, EDGE, Bluetooth, etc.

• Criptosistemas, RC4, AES, RSA, DH, ECC, etc.

• Tendencias, la nube, la Grid, SaaS, Security aaS, etc.

10Dr. José de Jesús Vázquez Gómez

Uso en Banca

Dr. José de Jesús Vázquez Gómez 11

Manejo de cuentas bancarias

Uso en seguridad

Dr. José de Jesús Vázquez Gómez 12

Control remoto de seguridad física

Uso información personal

Dr. José de Jesús Vázquez Gómez 13

Uso Grid Latinoamericana

• "The LA Grid Program is a Collaborative research projects in the emerging areas of grid technology and leading industry applications for health care, life sciences and disaster mitigation."

• http://latinamericangrid.org/

Dr. José de Jesús Vázquez Gómez 14

Uso Grid del DoD

Dr. José de Jesús Vázquez Gómez 15

http://cio-nii.defense.gov/docs/GIGArchVision.pdf

16Dr. José de Jesús Vázquez Gómez

http://en.wikipedia.org/wiki/Mobile_operating_system

Uso sistemas operativos

Dell Latitude 2100 and Mobile Cart

Uso educación

Dr. José de Jesús Vázquez Gómez 17

Competitividad

Riesgos• Virus eventualmente

• Caballos de Troya

• Controles remotos

• Software no certificado

• Robo o extravío

• Acceso no restringido

• Fuga de información

• Espionaje

• Falta de administración

• Exposición física de usuarios privilegiados

• Etcétera …

Dr. José de Jesús Vázquez Gómez 19

Riesgos BlackBerry

Dr. José de Jesús Vázquez Gómez 20

Preocupación sobre la seguridad que se puede dar a los correos utilizando cualquier dispositivo móvil, particularmente, si los mensajes pueden ser interceptados o pasan por una administración fuera de la organización (RIM).

Dr. José de Jesús Vázquez Gómez 21

Riesgos Windows Mobile(y otros)

• Ambientes que permiten instalar cualquier tipo de aplicación sin restringir a aquellas que representan una posible afectación para la información almacenada en el dispositivo.

• La vulnerabilidad real es que el ser humano conozca cuándo hacer click y cuándo no.

Dr. José de Jesús Vázquez Gómez 22

http://www.zdnet.co.uk/news/mobile-devices/2010/06/08/iphone-4-demo-turns-awkward-as-wi-fi-fails-40089173/

Riesgos iPhone 4

Dr. José de Jesús Vázquez Gómez 26

Disponibilidad

Dr. José de Jesús Vázquez Gómez 27

Obtención de info en iPhone

• iPhone Spy Stick permite recuperar información almacenada en el iPhone.

• Así como recuperar alguna de la información que haya sido borrada.

http://www.mobilewhack.com/iphone-spy-stick/

28Dr. José de Jesús Vázquez Gómez

http://www.macworld.com/article/153085/2010/08/gsm_security.html29Dr. José de Jesús Vázquez Gómez

Riesgos en abuso de servicios en línea

Dr. José de Jesús Vázquez Gómez 30

Dr. José de Jesús Vázquez Gómez 31

Troyano para Android

• Tap Snake no es sólo un juego. En realidad es un software cliente de una aplicación de espionaje comercial llamada GPS Spy.

32Dr. José de Jesús Vázquez Gómez

33Dr. José de Jesús Vázquez Gómez

34Dr. José de Jesús Vázquez Gómez

35Dr. José de Jesús Vázquez Gómez

36Dr. José de Jesús Vázquez Gómez

37Dr. José de Jesús Vázquez Gómez

38Dr. José de Jesús Vázquez Gómez

39Dr. José de Jesús Vázquez Gómez

40Dr. José de Jesús Vázquez Gómez

41Dr. José de Jesús Vázquez Gómez

Riesgos en Marcapasos

• ¿Pueden los hackers controlar remotamente un marcapasos?

• Desafortunadamente, esto es posible.

http://www.scientificamerican.com/article.cfm?id=heart-stopper-med-device-hack42Dr. José de Jesús Vázquez Gómez

Riesgos en servicios “en la nube”

“ Operación Aurora”

Google reconocía en su blog oficial el mes pasado haber sido objeto de un ataque sofisticado de origen chino, afectando su infraestructura.

Los posibles daños declarados son de robo de propiedad intelectual y ataque a dos cuentas de correos de Gmail.

El posible objetivo era la obtención de información sobre activistas chinos para los derechos humanos.

http://www.hispasec.com/unaaldia/4101

Riesgos en Wireless

Dr. José de Jesús Vázquez Gómez 44

Uno de los ataques más comunes en las redes inalámbricas en el protocolo 802.11 es el de Des-autenticación.

Los usuarios de redes wireless bajo este protocolo perderían por momentos su conexión.

Riesgos en Wireless

Dr. José de Jesús Vázquez Gómez 45

El reciente exploit denominado “Hole 196” permite a un usuario interno escuchar las conversaciones wireless protegidas con lo que a la fecha se considera el protocolo más seguro que ofrece la tecnología wireless, es decir , WPA2.

Blog de Marco Ramilli

Recomendaciones1. Elegir cuidadosamente el dispositivo a utilizar

2. Encriptar datos en el dispositivo

3. Solicitar autentificación

4. Bloqueo automático después de un tiempo de inactividad.

5. Actualizarlo periódicamente.

6. Permitir el borrado remoto o por fallas en autentificación

7. Habilitar una línea para recibir informes de extravío de dispositivos

8. Establecer un control de las aplicaciones que pueden ser instaladas en los dispositivos.

9. Establecer las políticas del tráfico de datos de dispositivos remotos hacia la red de la organización.

10. Deshabilitar bluetooth cuando no se esté empleando.

11. No descartar el uso de un AV en el dispositivo móvil.

12. Capacitar al usuario

13. Colocar candados físicos siempre que sea posible.

14. Para manejo de información sensible, sólo dispositivos en entornos administrados.

Dr. José de Jesús Vázquez Gómez 46

Recomendaciones

• Las recomendaciones son las mismas que aplican a cualquier equipo de cómputo, aunque, la principal diferencia radica en que debemos proveer de mecanismos que permitan protegerlos en redes y entornos no controlados (self-security) o (ubiquitous – security).

• Por ejemplo conectarse a internet a una nube que provea el perfil y seguridad en cualquier entorno, es decir que el perfil y su seguridad sea también móvil.

Dr. José de Jesús Vázquez Gómez 47

Conclusión• Estamos viviendo un momento único en que la tecnología está

llegando a todas las sociedades de información.

• El no adoptar estas nuevas tecnologías y servicios puede hacer poco competitiva a nuestra organización, ya que tanto los clientes como proveedores están haciendo más efectivos sus procesos mediante ellas.

• Si bien los estándares adecuados para soportar el cómputo móvil están aún en proceso de definición, se percibe una tendencia a convergir hacia interfaces universales para el usuario.

• En el entorno del cómputo móvil, los proveedores de servicios de TI harán las veces de los viejos mainframes con capacidades de cómputo y telecomunicaciones enormes, y al alcance de todos.

Dr. José de Jesús Vázquez Gómez 48

Conclusión• Desde luego existen riesgos, la mayoría de ellos ya conocidos y tratables; habrá

algunos nuevos que se derivarán sobre todo de dos aspectos:

– Cómo se administran los dispositivos móviles y los servicios que en su entorno se presentan.

– La madurez en la curva de aprendizaje de los nuevos sistemas operativos, aplicaciones y concientización de los usuarios.

• Otros aspecto a resolver es cómo garantizar el deslinde de responsabilidades cuando mi proveedor de servicio está en Internet, quizás en otro país y bajo leyes diferentes a las del cliente. Dependo de él para el éxito de mi organización.

Por ejemplo, en el Senado de Estados Unidos se discute la posibilidad de otorgar poderes al presidente Obama para ordenar a los ISP la desconexión de ciertas redes críticas bajo sospecha de alguna ciber-amenaza grave. (http://www.netmedia.info/security/busca-senado-de-eu-otorgar-poderes-a-obama-para-apagar-internet)

Esto podría afectar a los que dependemos de esas redes bajo esquemas como cloud computing o la Grid.

Dr. José de Jesús Vázquez Gómez 49

Gracias

Dr. José de Jesús Vázquez GómezBanco de México

jjesusvg@banxico.org.mx

50Dr. José de Jesús Vázquez Gómez